防火墙安全评估准则.pptVIP

4对雷击产生的电磁干扰： A金属的飞机外壳为内部机载电子设备提供屏蔽保护（法拉第效应），使电荷分布在飞机外部 B对最为关键部位的设备提高等级保护，如飞机电子设备的电线包括电源通讯及控制线加装有接地的金属屏蔽网（shielding）保护。 C采用多套设备互为备份。 5.安装密闭性佳，防止火花引爆的结构油箱 雷电区为飞行禁入区域，尽管现代飞机的设计使得飞机免遭雷击的可能性大大增加，遭到雷击后所造成的影响尽量减小到最小，但它无法避免雷击。由于某种原因有时侯飞机会误入其中，一旦飞机遭到雷击，就会对飞机就会造成相当严重的影响。 雷击的特征： 蒙皮或机身接缝处出现烧蚀状，蒙皮上有被击破的小坑或洞，蒙皮及铆钉附近由于雷击产生的高温而使油漆变色，搭地线、放电刷被断，复合材料除了油漆变色，还可能发生分层或击破等等。 * * 第12章 防火墙安全评估准则 本章重点： 安全评估的基本思想 安全等级的划分 安全等级的适用 安全评估 安全审计与测试 * 防火墙安全评估准则 防火墙产品作为对网络访问进行有效控制的信息安全设备，在对用户的网络访问进行控制的时候，要使用有效的用户认证技术来区分不同的用户身份，以适应不同访问级别的用户对网络访问的不同权限。 * 目前市场上销售的防火墙都具备用户认证功能，但传统的防火墙的用户认证技术尚存在如下不足： 在应用代理（网关）一级的认证技术必须与应用服务相关，也就是必须针对不同的应用（如HTTP,FTP等）进行定制。如果用户有一种新的应用服务需要进行认证，则必须开发相对应的认证模块嵌进去;此外，当用户使用不同的网络服务时，需要分别进行认证，即存在多次认证的问题，使用户使用不便，因此，当存在大量的应用时，防火墙具有较大的局限性。 包过滤功能与应用代理功能的网络性能相差非常大。当用户需要用户认证模块，而用户认证模块必须在应用代理基础上实现时，会极大地影响网络性能。因此，当用户在强调网络性能的情况下需要用户认证功能时，防火墙受到较大的限制。 在对用户做计费统计时，如果在应用网关一级做统计，往往只能对某些特定的网络服务类型来做统计，而不能统计该用户使用的所有服务的流量以及时间，这样，统计的准确性和有效性将大打折扣。 针对上述用户认证技术存在的不足，防火墙新增了网络层用户认证功能，以解决用户应用上存在的问题。 防火墙的网络层用户认证系统，解决了在应用代理一级做认证存在的只能为有限的服务提供认证功能、包处理的效率低和计费（流量或时间）的局限性。它采用在链路层和网络层的用户认证技术，则可以为任何网络协议、服务提供认证功能，变为与应用服务无关的用户认证，同时大大提高了处理效率。尤其在做计费时，可以精确地统计某用户发出/接收到每一个IP包以及用户使用网络的总时间。 防火墙都具备用户认证功能 * 目前的网络层用户认证系统的主要功能有： 认证功能 支持本地认证或RADIUS认证 用户管理功能 系统管理员管理功能 时间和流量的控制和统计 防火墙系统在线检测 * 认证功能 用户通过联想网御定制的客户端软件，可以使用电子钥匙自动认证方式或用户手动认证方式，向服务器防火墙证明自己的身份。只有当登录用户成功证明自己的身份，该用户才可以成为防火墙系统认可的认证用户，从而可以使用认证用户才能使用的网络服务。 * 支持本地认证或RADIUS认证 可以使用本地认证服务器（防火墙上自带的，支持1000个用户），或者第三方的标准RADIUS认证服务器。使用RADIUS时，支持RADIUS的审计功能。 用户管理功能 用户可以通过客户端软件修改自己的密码。 * 系统管理员管理功能 系统管理员可以通过Web浏览器管理认证服务器，包括：认证服务器参数的设置，增加/删除/修改本地组和用户；锁定/解除锁定特定的组或用户；设定需要认证的包过滤或透明代理规则；设置用户可使用的总的时间量和总的流量（具体说明见下文）。 * 时间和流量的控制和统计 每个认证用户每次连接使用的时间和流量均被记录在系统日志中，以便对用户的访问时间和流量进行统计；可以限定用户能使用的网络流量。当用户当前已经使用的流量超过该值时，用户将无法登录；可以限定用户能使用网络的时间。当用户当前已经使用的时间总量超过该值时，用户将无法登录。 * 防火墙系统在线检测 防火墙系统对认证通过的用户且正在使用网络服务的用户还要进行在线检测，当发现在线用户不是刚才的认证用户时，系统会自动断开网络服务的连接。 * 目前，防火墙具有多个认证方案，支持PAP和高安全强度的一次性口令（S/Key）认证协议，并支持标准的RADIUS、数字证书